深圳市大成天下信息技术有限公司

网银大盗困扰银行业木马产业链揭密

unnoo — Sun, 14 Jan 2007 01:53:40 +0800

财经时报记者李国训

　　随着“网上大盗”数量的不断增多，这一黑色产业也在不断壮大和分工。目前已经发展为包括木马制造、木马传播、密码窃取、洗钱等环节在内完整产业链形态

　　上海的唐先生从不使用网上银行，但他的银行卡却莫名出现了6笔网上转账记录，伴随而来的，是其账户里的3万元不翼而飞。

　　唐先生赶去银行质问，被告之是中了“网银大盗”的招，银行对此不负任何责任。多次沟通未果之后，唐先生无奈将该银行告上了法庭。

　　实际上，与唐先生有着类似郁闷经历的大有人在，而网上银行遭遇投诉的事件也屡见不鲜。仅2006年，北京各级法院受理的相关案件就多达十余件。而在北京、上海、广东、江苏等经济发达地区，同类受害者数量达到上千人。

　　这显然是个颇为尴尬的对照。在外资银行全面进入国内市场的紧要关头，国内各大银行却在愈演愈烈的网银失窃事件中疲于应付。

　　被摧毁的信心

　　各大银行遭遇“网银风波”已非一日，但至今仍无停息的迹象。

　　12月底，名噪一时的“工行网银受害者集体维权联盟”向上海消费者协会投诉工行，再次把网上银行安全话题推向舆论的顶峰。据悉，这一联盟成员目前已近500多名，累计被窃金额达数百万元之多。

　　在此之前，农行、建行等网银失窃事件此起彼伏，已经引起了各大银行的重视。国内各大银行以防止网银失窃案件的蔓延，均采取了相应积极措施。比如工商银行提供了U盾、电子银行口令卡；农行推出限额的电子支付卡、K宝(USBKey智能密钥)；中行推出验证码、交行推出数字证书等。

　　然而，网民被摧毁的信心却难以在短期内恢复。

　　据中国金融认证中心(CFCA)最近发布的《2006中国网上银行调查报告》显示，目前国内用户数量接近4000万，为2005年的的两倍。但是，受“网银大盗”影响，61%的网民不敢用网上银行，而在2005年，这一数字为50%。

　　“网上银行到底怎么了？既然容易失窃，为什么银行不早先做好准备，而失窃的后果却要由个人来承担？”唐先生在电话里向《财经时报》的诉说，折射了许多网民的心声。

　　用户端：最危险的一环

　　为什么在不知情的情况下，账户里的钱会被人通过网上银行席卷一空？网上银行漏洞到底在哪里？

　　金山毒霸技术总监陈睿向《财经时报》透露，从目前来看，尽管从用户到银行的任何环节都可能被黑客拦截，但相比之下，99%的危险来自于用户端。

　　“在WINDOWS的开放的系统下，只要用户在键盘输入任何数字，都可能被黑客记录下来。”陈睿认为，这是导致网上银行出现风险的最大原因。

　　一般而言，“网银大盗”窃取用户银行密码的方式主要有两种：一是“网络钓鱼”，也就是利用欺骗性的电子邮件和伪造的网站来进行诈骗活动，用户一旦上当受骗填写数据，就可能被对方获取；二是利用木马和病毒远程控制用户终端。用户在被木马感染的电脑上使用网上银行，其卡号和密码也会自动发送到黑客指定邮箱中。

　　陈睿认为，在上述两者中，木马和病毒的威胁更大。这也是目前黑客普遍采用的盗窃模式。

　　据江民公司公布的数据显示：三年来国内网银木马数量已经激增600倍。2004年，国内被网银木马感染的计算机数量只有60台，2005年升至1100台，2006年前10个月更超过37000台。

　　在2006年十大计算机病毒事件评选中，涉及网银、支付宝账号和密码被盗的案件，也占据了半壁江山。

　　“在这种情况下，使用杀毒软件无疑可以帮助用户降低很多风险。但百密一疏，被黑客侵入的风险依然存在。”陈睿如此认为。

　　同时，各大银行也在通过提高身份认证等办法，来提升网上银行的安全程度。但这不能从根本上根治网上银行的漏洞。“这些限制手段不过提高了木马制作的门槛。只要能带来暴利，黑客就迟早会突破防线。”陈睿说。

　　木马产业链

　　一位熟知内情的人士向《财经时报》透露说，最近两年来，随着“网上大盗”数量的不断增多，这一黑色产业也在不断壮大和分工。目前已经发展为包括木马制造、木马传播、密码窃取、洗钱等环节在内完整产业链形态。

　　第一个环节就是木马制作。“木马制作者一般不直接作案，他们只生产制造木马，以每款木马数百元到数千元不等的价格卖给下游。他们的特点是人多，分布散，产品多，传播面广。”该人士透露。

　　其次是木马传播以及密码窃取。在从木马制造者手中购买到合适的木马后，这些人便通过各种网络渠道，将木马植入不同的用户电脑。“中招”用户只要输入
银行卡、密码以及身份证等信息，便会发到指定邮箱中。

　　最后一个环节就是洗钱。这也是最危险的一个环节。

　　“获得银行密码的人会找学生或无业人士合作，事后对半分账。洗钱的办法有很多种，比如在网上购买虚拟货币，再转手卖掉，比如直接网上转账到其他银行账号。当然，这些账号必须用虚假身份证。”上述人士透露。

　　据悉，这一产业链主要在网上交易或合作。在上述人士指引下，记者在百度“网银”贴吧等处找到大量相关信息。从1月初至今，上面有关网银木马、资料、洗钱等销售与合作的信息已超过50条，一些“热门贴”甚至多达数百点击。

　　上述人士还透露，由于“网银”盗窃涉及刑法，潜在风险极大，因此参与的人数并不多。相比之下，利用木马盗窃QQ、网游装备等虚拟财产的“灰色产业链”，相比之下要热闹得多。

　　“目前我国的虚拟财产还没有得到明显的法律保护，被盗的人也无法报案，因此做这行的人有惊无险，而且更疯狂。”该人士感慨说。

成都一黑客盗取虚拟货币被判刑

unnoo — Sun, 14 Jan 2007 01:49:57 +0800

短短10天时间里多次盗取一公司7个网络游戏充值账户内的虚拟货币，并用虚拟货币购买游戏卡点卖钱，非法获利1300余元。近日，成都市锦江区法院以盗窃罪判处这名网络“黑客”杨小珑有期徒刑8个月。

　　据了解，被盗的成都某信息技术公司主要销售网络游戏点卡，2006年4月，该公司工作人员发现公司多个网络游戏充值账户内的虚拟货币被盗取，总价值上千元，随即向成都警方报警。成都警方通过上网监测发现，被盗公司充值账号内的货币被另一网络用户转走，并很快锁定了一名行盗的网络“黑客”。4月 21日，当这名网络“黑客”在成都一间租用的房屋内上网时，被成都警方抓获。

　　经审讯，杨小珑来蓉后一直没有工作，一次上网无意中看到一张“如何窃取他人账户和密码”的帖子。经过多次试验，杨某终于监测到了终端其他计算机上传输的信息，获取了被盗公司的网络游戏充值账户和密码，并先后在该公司多个账户内用虚拟货币购买游戏点卡。之后，杨某又在网上公开叫卖自己的游戏点卡，获利1300余元。

　　法院审理认为，杨小珑已构成盗窃罪。鉴于杨是初犯，且认罪态度较好，判处有期徒刑8个月，并处罚金1000元，没收用于作案的笔记本电脑。(新华)

U盘(auto病毒)类病毒分析与解决方案

unnoo — Fri, 12 Jan 2007 12:52:54 +0800

出处：数据安全实验室 (DSW Lab Avert 小组)

日期：2007年01月07日
版权所有，转载请保留版权!

一、U盘病毒简述：

　　U盘(自动运行)类病毒(auto病毒)近来非常常见，并且具有一定程度危害，它的机理是依赖Windows的自动运行功能，使得我们在点击打开磁盘的时候，自动执行相关的文件。目前我们使用U盘都十分频繁，当我们享受U盘所带来的方便时，U盘病毒也在悄悄利用系统的自动运行功能肆意传播，目前流行的 U盘病毒文件大家甚至耳熟能详了，比如经常有网友问的SSS.EXE SXS.EXE如何查杀这类的，下面我们将对U盘病毒极其特性和防范办法进行分析总结。

二、特性分析：

　　所谓的自动运行功能是指Windows系统一种方便特性，使当光盘、U盘插入到机器自动运行，而这种特性的实现就是通过磁盘跟目录下的 autorun.inf文件进行。这个文件保存在驱动器的根目录下(一般会是一个隐藏属性的系统文件)，它保存着一些简单的命令，告知系统新插入的光盘或 U盘应该自动启动什么程序等。

　　　　常见的Autorun.inf文件格式大致如下：

　　　　[AutoRun]　　　　//表示AutoRun部分开始，必须输入
　　　　 icon=C:\C.ico　　//指定给C盘一个个性化的盘符图标C.ico
　　　　 open=C:\1.exe　　//指定要运行程序的路径和名称，只要在此放入病毒程序就可自动运行；

　　在Windows系统有允许和阻止自动运行的键值的方法：

　　在注册表中找到如下键：

键路径：[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Exploer]

在右侧窗格中有 "NoDriveTypeAutoRun"这个键决定了是否执行Autorun功能.其中每一位代表一个设备,不同设备用以下数值表示:

设备名称

第几位

值

设备用如下数值表示

设备名称含义

DRIVE_UNKNOWN
0

1

01h
不能识别的类型设备

DRIVE_NO_ROOT_DIR
1

0

02h
没有根目录的驱动器

DRIVE_REMOVABLE
2

1

04h
可移动驱动器

DRIVE_FIXED
3

0

08h
固定的驱动器

DRIVE_REMOTE
4

1

10h
网络驱动器

DRIVE_CDROM
5

0

20h
光驱

DRIVE_RAMDISK
6

0

40h
RAM磁盘

其中：保留 7 1 80h 　未指定的驱动器类型

以上值"0"表示设备运行，"1"表示设备不运行。
从上面可以看出，对应的DRIVE_NO_ROOT_DIR、DRIVE_FIXED、DRIVE_CDROM、DRIVE_RAMDISK是可以自动运行的。所以要禁止硬盘自动运行AutoRun.inf文件，就必须将DRIVE_FIXED这些键的值设为1，由于DRIVE_FIXED代表固定的驱动器(即硬盘)。如果仅想禁止软件光盘的AutoRun功能，但又保留对CD音频碟的自动播放能力，这时只需将“NoDriveTypeAutoRun”的键值改为：BD,00,00,00即可。

　　 U盘病毒就是利用这种系统特性，一般在感染后会修改系统的注册表，将显示所有文件的选项设置为禁止。甚至修改磁盘关联，杀毒软件一般会只把病毒文件清除，但对残余的文件不会处理。这也是常见的杀毒软件为什么常常无法清除干净，或者清除后双击无法打开磁盘的原因。

三、解决方案：

　　　 1、使用超级巡警套装来全面解决U盘病毒问题(推荐!):

①超级巡警对U盘病毒检测进行了特别的处理，可以快速的监测和定位U盘病毒，并清除它们。
②超级巡警同时还提供对注册表关联修复和自动运行阻止的处理。

2、手动解决办法：

①根据上面的原理，自己修改注册表禁止磁盘的自动运行特性。
②把文件夹选项中隐藏受保护的操作系统文件钩掉，选中显示所有文件和文件夹，点击确定。这样可以在感染病毒的移动存储设备中会看到几个文件(包括autorun.inf和病毒文件)，删除后，病毒就清除了。

版权所有：数据安全实验室
http://www.dswlab.com
http://www.unnoo.com
Copyright(c) DSW Lab All rights reserved

警惕：新浪UC 0day漏洞攻击

unnoo — Fri, 12 Jan 2007 12:50:02 +0800

出处：DSW Avert
时间：2007年01月09日

今天，DSW Lab Avert小组监测到一个高度危险的新浪UC漏洞被公开披露，该漏洞是ActiveX控件的参数缺乏必要的验证，攻击者构造恶意网页，可以远程完全控制安装了Sina UC 的用户的计算机，如果被恶意利用，可以使得用户在浏览植入恶意代码的网页时，打开本地端口，远程植入木马到用户系统中。

目前新浪官方尚无反映!

新浪UC是新浪的一款IM软件，新浪UC集传统即时通信软件功能于一体，融合P2P思想的新一代开放式网络即时通信娱乐软件，将有声有色、图文并茂的场景聊天模式，以及视频电话、可断点续传的文件传输、能够多人聊天的多人世界，消息群发功能和在线游戏功能以及同学录(团体)等有机结合，形成一个完整的网上即时通讯娱乐平台。

临时解决方案：

1、在厂商没有升级或推出相应的补丁之前，建议用户改用其它IM。

2、关闭和删除注册表中相关ActiveX注册条目。

3、安装超级巡警来即时监测木马。

注：该漏洞由Nevis Labs安全研究员 Sowhat 发现，更多详细信息：

http://www.nevisnetworks.com
http://secway.org/advisory/ad20070109EN.txt
http://secway.org/advisory/ad20070109CN.txt

最新消息：

2007年01月10日，新浪官方紧急升级，提供了安全补丁下载，下载地址：

http://download.51uc.com/uc_download.shtml?tool_0

版权所有：数据安全实验室
http://www.dswlab.com
http://www.unnoo.com
Copyright(c) DSW Lab All rights reserved

Tencent QQ 远程溢出代码被公开

unnoo — Wed, 03 Jan 2007 18:15:08 +0800

DSW Avert   日期：2007年1月3日

一、事件描述：

2007年1月1日，DSW Avert 发布了一个针对腾讯公司即时聊天工具QQ的0day漏洞预警，仅隔两天，3日，国内一个黑客团体公开了远程溢出代码和相关利用程序，
据介绍，该漏洞是由于QQ在系统中注册了相关Activex控件引起，由于Activex控件的特殊性，用户在安装了QQ后即受此漏洞影响，甚至无需登录QQ都可能遭到潜在攻击。从公开的代码看，漏洞影响QQ2006正式版及之前所有未打最新补丁的版本。

二、漏洞演示：

    下面演示QQ 0day漏洞的危害，出于学习目的，旨在提高网友意识，请勿模仿!
    首先演示本地打开端口供黑客进入：

    1、首先查看本地端口，其中并没有4444。

2、当浏览含有该攻击代码的网页时，本地悄悄打开4444端口，黑客可以远程进入。

    3、黑客远程登录。

    演示网络下载木马后门运行：

    1、首先把要下载的木马地址写在一个网页中。

2、当用户浏览该网页会下载黑客指定的木马运行，图为超级巡警监测到下载的木马和释放到系统中的文件。

三、解决方案：

1、厂商补丁：

   目前厂商已经在2007.1.1日发布了升级补丁，请用户自行升级QQ：
   http://security.qq.com/affiche/2006/20061231.shtml

2、临时解决方案：

   ①禁止IE执行ActiveX 控件
   ②删除VQQPlayer.ocx注册的注册表键：
     HKEY_CLASSES_ROOT\QQPLAYER.QQPlayerCtrl.1

四、相关文章：

DSWLAB实验室：警惕：QQ 0day 漏洞攻击
http://dswlab.com/vir/v20070101.html

超级巡警(Anti-Spyware Toolkit)最新版本免费下载

unnoo — Wed, 03 Jan 2007 17:17:36 +0800

安装版下载

http://dswlab.com/download/ast_setup.exe
http://killer.9i3g.cn/download/ast_setup.exe
http://wap.chinaz.com/x/AST/ast_setup.exe

绿色版载

http://dswlab.com/download/ast.rar
http://killer.9i3g.cn/download/ast.rar
http://wap.chinaz.com/x/AST/ast.rar

1、软件简介：
专门查杀并可辅助查杀各种木马、流氓软件、利用Rootkit技术的各种后门和其它恶意代码(间谍软件、蠕虫病毒)等等。提供了多种专业工具，提供系统 /IE修复、隐私保护和安全优化功能，提供了全面的系统监测功能，使你对系统的变化了如指掌，配合手动分析可近100%的查杀未知恶意代码！

2、主要特色：

1)、通用的自动化Rootkit解决方案，不使用传统特征码，即可检测各种利用Rootkit技术隐藏的木马、后门。
2)、全面检测隐藏进程、隐藏服务、隐藏端口。
3)、自动检测和修复Winsock SPI链的相关错误。
4)、系统内核服务描述表恢复，显示和摘除被Hook的内核函数，自动还原被Inline hook的内核函数。
5)、独创的快速匹配算法，在最小的系统资源占用级别上进行最快的扫描检测。
6)、扫描模块和实时监控共用引擎和库在内存中的同一份拷贝，大大降低系统资源占用，模块间高效协同工作。
7)、内存扫描和静态分析预警系统有机结合。
8)、立足于病毒家族的广谱特征，强力提高病毒检测率。
9)、前瞻性的主动防御监测体系，全面检测未知木马。
10)、国内首个支持NTFS数据流扫描，使检测更彻底。
11)、纯绿色软件，解压即可使用。

3、主要功能：
启发预警，启动管理，IE插件管理，SPI链自动检测与修复，Rootkit检测，服务管理，隐藏服务检测，过滤微软默认服务，服务增加和删除，SSDT (服务描述表)恢复，进程管理，隐藏进程检测，DLL模块强制卸载，检测隐藏端口，断开连接，定位远程IP，WHOIS查询，关闭端口，IE修复，流氓插件免疫，恶意网站屏蔽，系统垃圾清理，智能扫描，文件粉碎机，软件卸载，系统优化，系统修复，漏洞检查和修复，右键查毒，漏洞检查和修复，系统诊断报告，论坛救援，启发扫描，NTFS数据流扫描，签名分析，全面扫描，内存扫描，目录扫描，信任列表，实时监控，智能升级。

勒索病毒分析

unnoo — Wed, 03 Jan 2007 17:14:05 +0800

作者：黄鑫（glacier②unnoo.com）

前几天接到一位朋友求助，说是硬盘里的文档、相片和 MP3 等文件全部不见了，D 盘根目录留下一个名为“EncryptV2.0.exe”的程序和一份《使用说明.txt》，主要内容如下：

【Encrypt V2.0】
功能强大的商业数据保护软件，让您的机密不再被他人窃取
客服QQ : 4040458
客服E-mail : encrypt2@163.com
【精明软件开发团队】

运行“EncryptV2.0.exe”后主界面中可以看到“解除保护”按钮，但需要输入密码。根据《使用说明.txt》中留下的 QQ 号码和 email 地址，那朋友联系了所谓的“客服人员”，对方严正告知这是有偿服务，需要缴纳 280 元的服务费才可提供密码。
除了 “EncryptV2.0.exe”，当初那个负责“保护”文档的病毒样本已经消失无踪，不知是程序出于防分析目的而自毁，还是那朋友根据有限的杀毒知识胡改乱删给清除了。为简便起见，我试图用逆向工程方法绕过密码保护，让“EncryptV2.0.exe”自己还原文档。分析结果却让人哭笑不得，代码只有两个分支：1、没有输入密码；2、密码错误。
此时如果不愿向流氓低头，就只有手动恢复文档了。通过 google 的搜索结果，大致可知勒索类软件从今年 6 月份左右在国内传播，而我朋友遇到的这个，在 8 月初才有人提到。这类病毒通常不采用文件过滤驱动等底层方法实现——有此心态的作者多半也深入不到这个层次。常用的手段是通过移动文件、修改目录名称、编辑 desktop.ini 文件、设置文件/目录属性、修改注册表等方式使文件不可见，只要逆向操作一遍即可还原。
将 D 盘根目录下的“F0UND.0001”、“F0UND.0002”等目录中伪装成打印机的目录还原，发现有些是空目录，有些则完全是＜system32＞目录下的系统文件，文件创建日期均为 7 月 27 日，即病毒发作当日。由于没有原始病毒样本做辅助判断，这里只能猜测，病毒程序先将文档移动到“F0UND.0001”等目录下的子目录中，然后将文档全部删除，再用＜system32＞目录下的大量系统文件覆盖，最后还将这些子目录伪装成打印机目录。如此操作后，D 盘的磁盘空间占用没有明显变化，用户只能看到很多奇怪的目录名称，却无法察看其中内容，误认为文档就被藏在里面。另一目的则应该是，中毒用户即使修复并进入了这些目录，看到的也全是垃圾文件，无奈之下只有求助于“客服人员”。如果猜得没错，该病毒的做法与先“撕票”再索要赎金的匪徒无异。为了证实上述猜测，使用“FinalData2.0”在 D 盘中进行反删除操作，果然可以找到并恢复半数的被“保护”文档——另一半已经被大量垃圾文件覆盖而无法恢复。
至此，文档恢复工作告一段落。我并不确信自己的猜测百分之百正确，所以也希望“有幸”遭遇该病毒的朋友发给我一份样本以便进一步分析。

附1：勒索类病毒隐藏文件的常用方法

1、在目录名后追加“.{21EC2020-3AEA-1069- A2DD-08002B30309D}”后缀，可以将目录伪装成“控制面板”。同理，追加“.{2227a280-3aea-1069-a2de- 08002b30309d}”后缀可伪装成打印机目录等等。
对策——将后缀删除即可恢复。

2、修改以下注册表键值：
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=2
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"HideFileExt"=1
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=1
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=0 这样即使在“文件夹选项”中设置了“显示所有文件和文件夹”及“显示受保护的操作系统文件”，依然不能显示病毒建立的隐藏文件夹。
对策——恢复注册表键值：
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=1
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"HideFileExt"=0
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=0
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=1
3、修改目录为“系统、只读”属性（“+s +r”）；目录下创建“desktop.ini”文件，设置为“系统、存档、隐藏、只读”属性（“+s +a +h +r”），内容如下：
[.ShellClassInfo]
CLSID={21ec2020-3aea-1069-a2dd-08002b30309d}
其中不同的 CLSID 可以将目录伪装成控制面板、打印机、我的电脑、回收站等等。
对策——命令行下通过“attrib”命令取消目录及“desktop.ini”的系统、隐藏、只读属性（-s -h -r），并删除“desktop.ini”文件。

附2：“EncryptV2.0.exe”代码片断及分析结果

0040C8A8　 . 816C24 04 5B00>SUB DWORD PTR SS:[ESP+4],5B
0040C8B0　 . E9 9B7C0000JMP dumped_F.00414550;　“使用说明”按钮
0040C8B5　 . 816C24 04 5F00>SUB DWORD PTR SS:[ESP+4],5F
0040C8BD　 . E9 7E7D0000JMP dumped_F.00414640;　“服务介绍”按钮
0040C8C2　 . 816C24 04 6300>SUB DWORD PTR SS:[ESP+4],63
0040C8CA　 . E9 617E0000JMP dumped_F.00414730;　“团队介绍”按钮
0040C8CF　 . 816C24 04 6700>SUB DWORD PTR SS:[ESP+4],67
0040C8D7　 . E9 447F0000JMP dumped_F.00414820;　“解除保护”按钮
0040C8DC　 . 816C24 04 6B00>SUB DWORD PTR SS:[ESP+4],6B
0040C8E4　 . E9 07810000JMP dumped_F.004149F0;　“取消”按钮
......
00414820　 > 55 PUSH EBP
00414821　 . 8BEC　 MOV EBP,ESP
00414823　 . 83EC 0CSUB ESP,0C
00414826　 . 68 E6104000PUSH 　;　SE handler installation
0041482B　 . 64:A1 00000000 MOV EAX,DWORD PTR FS:[0]
00414831　 . 50 PUSH EAX
00414832　 . 64:8925 000000>MOV DWORD PTR FS:[0],ESP
00414839　 . 81EC 9C000000　SUB ESP,9C
0041483F　 . 53 PUSH EBX
00414840　 . 56 PUSH ESI
00414841　 . 57 PUSH EDI
00414842　 . 8965 F4MOV DWORD PTR SS:[EBP-C],ESP
00414845　 . C745 F8 C81040>MOV DWORD PTR SS:[EBP-8],dumped_F.004010>
0041484C　 . 8B75 08MOV ESI,DWORD PTR SS:[EBP+8]
0041484F　 . 8BC6　 MOV EAX,ESI
00414851　 . 83E0 01AND EAX,1
00414854　 . 8945 FCMOV DWORD PTR SS:[EBP-4],EAX
00414857　 . 83E6 FEAND ESI,FFFFFFFE
0041485A　 . 56 PUSH ESI
0041485B　 . 8975 08MOV DWORD PTR SS:[EBP+8],ESI
0041485E　 . 8B0E　 MOV ECX,DWORD PTR DS:[ESI]
00414860　 . FF51 04CALL DWORD PTR DS:[ECX+4]
00414863　 . 8B16　 MOV EDX,DWORD PTR DS:[ESI]
00414865　 . 33FF　 XOR EDI,EDI
00414867　 . 56 PUSH ESI
00414868　 . 897D E8MOV DWORD PTR SS:[EBP-18],EDI
0041486B　 . 897D E4MOV DWORD PTR SS:[EBP-1C],EDI
0041486E　 . 897D D4MOV DWORD PTR SS:[EBP-2C],EDI
00414871　 . 897D C4MOV DWORD PTR SS:[EBP-3C],EDI
00414874　 . 897D B4MOV DWORD PTR SS:[EBP-4C],EDI
00414877　 . 897D A4MOV DWORD PTR SS:[EBP-5C],EDI
0041487A　 . 897D 94MOV DWORD PTR SS:[EBP-6C],EDI
0041487D　 . FF92 14030000　CALL DWORD PTR DS:[EDX+314]
00414883　 . 50 PUSH EAX
00414884　 . 8D45 E4LEA EAX,DWORD PTR SS:[EBP-1C]
00414887　 . 50 PUSH EAX
00414888　 . FF15 24104000　CALL DWORD PTR DS:[<&msvbvm60.__vbaObjSe>;　msvbvm60.__vbaObjSet
0041488E　 . 8BF0　 MOV ESI,EAX
00414890　 . 8D55 E8LEA EDX,DWORD PTR SS:[EBP-18]
00414893　 . 52 PUSH EDX
00414894　 . 56 PUSH ESI
00414895　 . 8B0E　 MOV ECX,DWORD PTR DS:[ESI]
00414897　 . FF91 A0000000　CALL DWORD PTR DS:[ECX+A0]
0041489D　 . 3BC7　 CMP EAX,EDI
0041489F　 . DBE2　 FCLEX
004148A1　 . 7D 12　JGE SHORT dumped_F.004148B5
004148A3　 . 68 A0000000PUSH 0A0
004148A8　 . 68 C8BE4000PUSH dumped_F.0040BEC8
004148AD　 . 56 PUSH ESI
004148AE　 . 50 PUSH EAX
004148AF　 . FF15 18104000　CALL DWORD PTR DS:[<&msvbvm60.__vbaHresu>;　msvbvm60.__vbaHresultCheckObj
004148B5　 > 8B45 E8MOV EAX,DWORD PTR SS:[EBP-18]
004148B8　 . 50 PUSH EAX
004148B9　 . 68 DCBE4000PUSH dumped_F.0040BEDC
004148BE　 . FF15 3C104000　CALL DWORD PTR DS:[<&msvbvm60.__vbaStrCm>;　与空字符串进行比较
004148C4　 . 8BF0　 MOV ESI,EAX
004148C6　 . 8D4D E8LEA ECX,DWORD PTR SS:[EBP-18]
004148C9　 . F7DE　 NEG ESI
004148CB　 . 1BF6　 SBB ESI,ESI
004148CD　 . 46 INC ESI
004148CE　 . F7DE　 NEG ESI
004148D0　 . FF15 90104000　CALL DWORD PTR DS:[<&msvbvm60.__vbaFreeS>;　msvbvm60.__vbaFreeStr
004148D6　 . 8D4D E4LEA ECX,DWORD PTR SS:[EBP-1C]
004148D9　 . FF15 94104000　CALL DWORD PTR DS:[<&msvbvm60.__vbaFreeO>;　msvbvm60.__vbaFreeObj
004148DF　 . B9 04000280MOV ECX,80020004
004148E4　 . B8 0A000000MOV EAX,0A
004148E9　 . 66:3BF7CMP SI,DI
004148EC　 . 894D ACMOV DWORD PTR SS:[EBP-54],ECX
004148EF　 . 8945 A4MOV DWORD PTR SS:[EBP-5C],EAX
004148F2　 . 894D BCMOV DWORD PTR SS:[EBP-44],ECX
004148F5　 . 8945 B4MOV DWORD PTR SS:[EBP-4C],EAX
004148F8　 . 894D CCMOV DWORD PTR SS:[EBP-34],ECX
004148FB　 . 8945 C4MOV DWORD PTR SS:[EBP-3C],EAX
004148FE　 . 74 43　JE SHORT dumped_F.00414943
00414900　 . 8D55 94LEA EDX,DWORD PTR SS:[EBP-6C]
00414903　 . 8D4D D4LEA ECX,DWORD PTR SS:[EBP-2C]
00414906　 . C745 9C F0BF40>MOV DWORD PTR SS:[EBP-64],dumped_F.0040B>
0041490D　 . C745 94 080000>MOV DWORD PTR SS:[EBP-6C],8
00414914　 . FF15 7C104000　CALL DWORD PTR DS:[<&msvbvm60.__vbaVarDu>;　msvbvm60.__vbaVarDup
0041491A　 . 8D4D A4LEA ECX,DWORD PTR SS:[EBP-5C]
0041491D　 . 8D55 B4LEA EDX,DWORD PTR SS:[EBP-4C]
00414920　 . 51 PUSH ECX
00414921　 . 8D45 C4LEA EAX,DWORD PTR SS:[EBP-3C]
00414924　 . 52 PUSH EDX
00414925　 . 50 PUSH EAX
00414926　 . 8D4D D4LEA ECX,DWORD PTR SS:[EBP-2C]
00414929　 . 57 PUSH EDI
0041492A　 . 51 PUSH ECX
0041492B　 . FF15 20104000　CALL DWORD PTR DS:[<&msvbvm60.rtcMsgBox>>;　提示“请输入密码！”
00414931　 . 8D55 A4LEA EDX,DWORD PTR SS:[EBP-5C]
00414934　 . 8D45 B4LEA EAX,DWORD PTR SS:[EBP-4C]
00414937　 . 52 PUSH EDX
00414938　 . 8D4D C4LEA ECX,DWORD PTR SS:[EBP-3C]
0041493B　 . 50 PUSH EAX
0041493C　 . 8D55 D4LEA EDX,DWORD PTR SS:[EBP-2C]
0041493F　 . 51 PUSH ECX
00414940　 . 52 PUSH EDX
00414941　 . EB 41　JMP SHORT dumped_F.00414984
00414943　 > 8D55 94LEA EDX,DWORD PTR SS:[EBP-6C]
00414946　 . 8D4D D4LEA ECX,DWORD PTR SS:[EBP-2C]
00414949　 . C745 9C 04C040>MOV DWORD PTR SS:[EBP-64],dumped_F.0040C>
00414950　 . C745 94 080000>MOV DWORD PTR SS:[EBP-6C],8
00414957　 . FF15 7C104000　CALL DWORD PTR DS:[<&msvbvm60.__vbaVarDu>;　msvbvm60.__vbaVarDup
0041495D　 . 8D45 A4LEA EAX,DWORD PTR SS:[EBP-5C]
00414960　 . 8D4D B4LEA ECX,DWORD PTR SS:[EBP-4C]
00414963　 . 50 PUSH EAX
00414964　 . 8D55 C4LEA EDX,DWORD PTR SS:[EBP-3C]
00414967　 . 51 PUSH ECX
00414968　 . 52 PUSH EDX
00414969　 . 8D45 D4LEA EAX,DWORD PTR SS:[EBP-2C]
0041496C　 . 57 PUSH EDI
0041496D　 . 50 PUSH EAX
0041496E　 . FF15 20104000　CALL DWORD PTR DS:[<&msvbvm60.rtcMsgBox>>;　提示“密码错误！”
00414974　 . 8D4D A4LEA ECX,DWORD PTR SS:[EBP-5C]
00414977　 . 8D55 B4LEA EDX,DWORD PTR SS:[EBP-4C]
0041497A　 . 51 PUSH ECX
0041497B　 . 8D45 C4LEA EAX,DWORD PTR SS:[EBP-3C]
0041497E　 . 52 PUSH EDX
0041497F　 . 8D4D D4LEA ECX,DWORD PTR SS:[EBP-2C]
00414982　 . 50 PUSH EAX
00414983　 . 51 PUSH ECX
00414984　 > 6A 04　PUSH 4
00414986　 . FF15 08104000　CALL DWORD PTR DS:[<&msvbvm60.__vbaFreeV>;　msvbvm60.__vbaFreeVarList
0041498C　 . 83C4 14ADD ESP,14
0041498F　 . 897D FCMOV DWORD PTR SS:[EBP-4],EDI
00414992　 . 68 C8494100PUSH dumped_F.004149C8
00414997　 . EB 2E　JMP SHORT dumped_F.004149C7
00414999　 . 8D4D E8LEA ECX,DWORD PTR SS:[EBP-18]
0041499C　 . FF15 90104000　CALL DWORD PTR DS:[<&msvbvm60.__vbaFreeS>;　msvbvm60.__vbaFreeStr
004149A2　 . 8D4D E4LEA ECX,DWORD PTR SS:[EBP-1C]
004149A5　 . FF15 94104000　CALL DWORD PTR DS:[<&msvbvm60.__vbaFreeO>;　msvbvm60.__vbaFreeObj
004149AB　 . 8D55 A4LEA EDX,DWORD PTR SS:[EBP-5C]
004149AE　 . 8D45 B4LEA EAX,DWORD PTR SS:[EBP-4C]
004149B1　 . 52 PUSH EDX
004149B2　 . 8D4D C4LEA ECX,DWORD PTR SS:[EBP-3C]
004149B5　 . 50 PUSH EAX
004149B6　 . 8D55 D4LEA EDX,DWORD PTR SS:[EBP-2C]
004149B9　 . 51 PUSH ECX
004149BA　 . 52 PUSH EDX
004149BB　 . 6A 04　PUSH 4
004149BD　 . FF15 08104000　CALL DWORD PTR DS:[<&msvbvm60.__vbaFreeV>;　msvbvm60.__vbaFreeVarList
004149C3　 . 83C4 14ADD ESP,14
004149C6　 . C3 RETN
004149C7　 > C3 RETN ;　RET used as a jump to 004149C8
004149C8　 > 8B45 08MOV EAX,DWORD PTR SS:[EBP+8]
004149CB　 . 50 PUSH EAX
004149CC　 . 8B08　 MOV ECX,DWORD PTR DS:[EAX]
004149CE　 . FF51 08CALL DWORD PTR DS:[ECX+8]
004149D1　 . 8B45 FCMOV EAX,DWORD PTR SS:[EBP-4]
004149D4　 . 8B4D ECMOV ECX,DWORD PTR SS:[EBP-14]
004149D7　 . 5F POP EDI
004149D8　 . 5E POP ESI
004149D9　 . 64:890D 000000>MOV DWORD PTR FS:[0],ECX
004149E0　 . 5B POP EBX
004149E1　 . 8BE5　 MOV ESP,EBP
004149E3　 . 5D POP EBP
004149E4　 . C2 0400RETN 4

NASL脚本解释引擎Windows版源代码 v1.4

unnoo — Wed, 03 Jan 2007 16:53:52 +0800

NASL脚本解释引擎Windows版，可以用来解释运行Nessus脚本。
点击下载源代码：NASL脚本解释引擎Windows版（380.3 KB）

X文件锁v1.0.0

unnoo — Wed, 03 Jan 2007 16:51:18 +0800

程序介绍：
本程序为大成天下信息技术有限公司发布免费工具，用于将 MS Office 文档转换为加密的 UND 文档，同时可设置文档的阅读次数及自动销毁时间。在阅读 UND 文档期间，用户无法复制文档内容。当 UND 文档满足销毁条件后，再次被打开时将以不可恢复的方式安全删除该文档。

文件说明：
UndMaker.exe：UND 文档创建工具
UndViewer.exe：UND 文档阅读工具

使用说明：
1、执行 Setup.exe 安装本程序；
2、在“我的电脑”或“资源管理器”中右键点击 MS Office 文档，选择“转换为UND安全文档”；
3、在弹出的窗口中设置相关参数并点击“确定”；
4、将创建好的 UND 文档发送给他人；
5、在安装了本程序的电脑上可以通过鼠标双击打开 UND 文档，并在规定次数/时间内正常阅读。

命令行参数：

UndMaker
/init：初始化文件关联
/V：查看程序版本
filename：生成 UND 文档
UndViewer
/init：初始化文件关联
/o ：阅读 UND 文档
/v ：查看 UND 文档水印
/V：查看程序版本

点击下载X文件锁V1.0.0

DigNtfs系统工具v1.0

unnoo — Wed, 03 Jan 2007 16:48:03 +0800

DigNtfs - 直接读取 NTFS 卷，查找 NTFS 分区中被 rootkit 隐藏的文件
命令行格式: DigNtfs.exe
含义:
    dig : 查找分区中被隐藏的文件。
    list : 列出分区中的所有文件 (包括元数据文件)。
    dump : 根据和读取文件内容，并保存在中。用于复制和分析被隐藏的文件。

示例:
    1、DigNtfs.exe -dig c
    查找 C 盘内被 rootkit 隐藏的文件
    2、DigNtfs.exe -list c
    列出 C 盘内的所有文件
    3、DigNtfs.exe -dump c 10224 dump.dat
    将 C 盘内编号为 10224 的隐藏文件另存到当前目录下 dump.dat

点击下载DigNtfs系统工具v1.0

X-PS系统工具v1.0

unnoo — Wed, 03 Jan 2007 16:47:34 +0800

命令行参数：
    无参数：显示系统当前运行的所有进程
    /m：显示各个进程加载的 DLL 模块
    /n <进程ID>：只显示 ID 等于 <进程ID> 的进程信息
    /f <字符串>：根据 <字符串> 过滤进程信息
    /k <进程名称/进程ID>：强行终止进程
    /i <进程名称/进程ID/*> : 强行向指定进程中插入 DLL (“*”匹配所有进程)
    /e <进程名称/进程ID/*> : 强行由指定进程中释放 DLL (“*”匹配所有进程)

示例：
    ps
    显示所有进程
    ps /m
    显示所有进程及各进程加载的 DLL 模块
    ps /m /n 1012
    显示 ID 为 1012 的进程加载的 DLL 模块
    ps /m /f "user32.dll"
    在所有进程加载的模块中查找“user32.dll”字符串
    ps /k 1012
    终止 ID 为 1012 的进程
    ps /k notepad
    终止所有名为“notepad”的进程
    ps /i explorer.exe hook.dll
    强制 explorer.exe 进程加载 hook.dll
    ps /e * hook.dll
    强制所有进程释放 hook.dll

点击下载X-PS系统工具v1.0

X警戒个人防火墙v1.0.1

unnoo — Wed, 03 Jan 2007 16:42:48 +0800

X警戒是一款简洁有效的个人网络防火墙，可工作在 Windows 2000/XP 的各个版本上，不可在 Windows 9x/NT 下运行。纯绿色免费软件，无需安装，双击运行即可使用。
它能够自动拦截发向本机的恶意 TCP/UDP/ICMP 数据包，普通用户无需配置。可自由浏览网站、收发 E-MAIL、运行各种网络游戏。对于高级用户，可在规则设置界面中设置允许/禁止对外提供服务的 TCP/UDP 端口，各端口之间用“,”号分隔，例如“25,80,110”。各项设置将在重新启动防火墙时生效。
X警戒最大程度屏蔽技术细节，是对计算机技术了解甚少的基础用户的最佳安全工具，它的使用界面如下：

点击下载X警戒个人防火墙v1.0.1

数字签名检测工具 V1.0

unnoo — Wed, 03 Jan 2007 16:37:35 +0800

本工具实现对微软数字签名的检查和系统文件的可信性验证，界面如下：

点击下载数字签名检测工具 V1.0

熊猫烧香病毒分析与解决方案

unnoo — Wed, 03 Jan 2007 16:18:19 +0800

killer (killer<2>unnoo.com)
Date:2006-11-20

一、病毒描述：
含有病毒体的文件被运行后，病毒将自身拷贝至系统目录，同时修改注册表将自身设置为开机启动项，并遍历各个驱动器，将自身写入磁盘根目录下，增加一个 Autorun.inf文件，使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染，同时开另外一个线程连接某网站下载ddos程序进行发动恶意攻击。

二、病毒基本情况：
[文件信息]

病毒名: Virus.Win32.EvilPanda.a.ex$
大小: 0xDA00 (55808), (disk) 0xDA00 (55808)
SHA1 : F0C3DA82E1620701AD2F0C8B531EEBEA0E8AF69D
壳信息: 未知
危害级别：高

病毒名: Flooder.Win32.FloodBots.a.ex$
大小: 0xE800 (59392), (disk) 0xE800 (59392)
SHA1 : B71A7EF22A36DBE27E3830888DAFC3B2A7D5DA0D
壳信息: UPX 0.89.6 - 1.02 / 1.05 - 1.24
危害级别：高

三、病毒行为：

Virus.Win32.EvilPanda.a.ex$ ：

1、病毒体执行后，将自身拷贝到系统目录：

%SystemRoot%\system32\FuckJacks.exe

2、添加注册表启动项目确保自身在系统重启动后被加载：

键路径：HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键名：FuckJacks
键值："C:WINDOWS\system32\FuckJacks.exe"

键路径：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键名：svohost
键值："C:WINDOWS\system32\FuckJacks.exe"

3、拷贝自身到所有驱动器根目录，命名为Setup.exe，并生成一个autorun.inf使得用户打开该盘运行病毒，并将这两个文件属性设置为隐藏、只读、系统。

C:autorun.inf 1KB RHS
C:setup.exe 230KB RHS

4、关闭众多杀毒软件和安全工具。
5、连接*****.3322.org下载某文件，并根据该文件记录的地址，去www.****.com下载某ddos程序，下载成功后执行该程序。
6、刷新bbs.qq.com，某QQ秀链接。
7、循环遍历磁盘目录，感染文件，对关键系统文件跳过，不感染Windows媒体播放器、MSN、IE 等程序。

Flooder.Win32.FloodBots.a.ex$ ：

1、病毒体执行后，将自身拷贝到系统目录：

%SystemRoot%\SVCH0ST.EXE
%SystemRoot%\system32\SVCH0ST.EXE

2、该病毒后下载运行后，添加注册表启动项目确保自身在系统重启动后被加载：

键路径：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键名：Userinit
键值："C:WINDOWS\system32\SVCH0ST.exe"

3、连接ddos2.****.com，获取攻击地址列表和攻击配置，并根据配置文件，进行相应的攻击。

配置文件如下：
www.victim.net:3389
www.victim.net:80
www.victim.com:80
www.victim.net:80
1
1
120
50000

四、解决方案：

1、使用超级巡警可以完全清除此病毒和恢复被感染的文件。
2、推荐在清除时先使用超级巡警的进程管理工具结束病毒程序，否则系统响应很慢。
3、中止病毒进程和删除启动项目请看论坛相关图片。

版权所有：数据安全实验室
http://www.dswlab.com
http://www.unnoo.com
Copyright(c) DSW Lab All rights reserved

大成天下风险评估服务技术白皮书 v1.0

unnoo — Wed, 03 Jan 2007 16:16:51 +0800

风险评估是风险管理的重要组成部分，要想更好地理解风险评估，首先要了解风险管理。
风险管理以可接受的费用识别、控制、降低或消除可能影响信息系统的安全风险的过程。是一个识别、控制、降低或消除安全风险的活动，通过风险评估来识别风险大小，通过制定信息安全方针，采取适当的控制目标与控制方式对风险进行控制，使风险被避免、转移或降至一个可被接受的水平。
本白皮书描述了大成天下安全服务体系中的一个重要部分——风险评估服务。本文主要面向企业的技术决策者、安全维护人员和基础结构工程人员。

点击下载《大成天下风险评估服务技术白皮书 v1.0》

设备名称	第几位	值	设备用如下数值表示	设备名称含义
DRIVE_UNKNOWN	0	1	01h	不能识别的类型设备
DRIVE_NO_ROOT_DIR	1	0	02h	没有根目录的驱动器
DRIVE_REMOVABLE	2	1	04h	可移动驱动器
DRIVE_FIXED	3	0	08h	固定的驱动器
DRIVE_REMOTE	4	1	10h	网络驱动器
DRIVE_CDROM	5	0	20h	光驱
DRIVE_RAMDISK	6	0	40h	RAM磁盘